陈雅峥｜论非国家行为体之网络攻击在国际法上的归因

现代科学技术革命使网络空间成为国家发展新的支柱。然而，互联网在推动世界相互联系融合的同时也给国家带来了风险与挑战。近年来，由反动组织、黑客、商业公司等非国家行为体针对国家发起的网络攻击日趋增多，给互联网环境乃至国家安全造成了严重的威胁。值此背景下，国家是否应当对非国家行为体发起的网络攻击承担国家责任开始成为一个备受关注的议题。

根据国家责任制度，一国为某一行为承担国际法律责任的前提之一是该行为可归因于国家。此外，归因的建立还是受害国行使自卫、反措施等权利的基础。正因如此，如何将非国家行为体发起的网络攻击归因于某个国家对受害国而言至关重要。然而，囿于网络空间的虚拟性、隐匿性和即时性，受害国在实践中很难对网络攻击进行追踪溯源，进而识别行为人并在其与国家之间建立法律联系。

鉴于此，不少西方学者大力提倡降低现有归因标准，甚至提出以国际法上的审慎原则（due diligence）作为网络空间中的特殊归因标准，以最大限度地使相关国家承担国家责任。

那么，传统归因理论是否适用于非国家行为体发起的网络攻击？审慎原则又能否作为归因的新标准？当前，世界正经历百年未有之大变局，大国网络安全博弈，不单是技术博弈，还是理念博弈、话语权博弈。我国是网络攻击的常见受害国之一，同时也频频遭受某些西方国家在网络攻击上的无端指责。研究上述问题不仅具有厘清国家责任归因体系的理论意义，且有助于维护网络空间国际秩序和我国国家安全。密切关注、积极影响包括归因制度在内的网络空间国际法的发展，是我们提升网络空间国际话语权和规则制定权的重要一步。

国家在外国法院的法律诉讼中享有的豁免是国际法的一个重要领域。国家豁免是国际社会公认的一项习惯国际法原则。国家豁免具体是指根据国家主权和平等原则，一个国家及其财产免受其他国家国内法院的司法管辖。因此，国家豁免更为精准的表述应该是“国家及其财产的豁免”。它涉及按照国际法给予国家豁免以使其能够有效地履行国家公共职能，并给予国家代表以确保国际关系的有序进行。根据一般承认的国际法原则，国家或政府、代表国家行事的人员或团体作为代表或官员有权主张国家豁免。

对网络攻击进行归因的第一步是对该攻击进行追踪溯源，这被一些学者称为“技术归因”。然而，相较于传统的武力攻击形式，互联网的特性致使网络攻击的归因极其困难。

首先，互联网的结构设计使得网络设备的IP地址难以被追踪。在互联网中，每台设备都会被分配到一个网际协议地址。客户端在发起通信的过程中，首先需要知道服务器的地址并向其请求服务，而服务器则一直被动地接受各客户端的请求。这意味着服务器通常并不需要知道客户端的IP地址。其次，攻击者还可以运用一系列的技术手段掩藏或篡改其IP信息。例如，网络攻击的发起者常常会使用代理服务器、匿名通信系统Tor（“洋葱路由”）来隐藏IP地址，或是通过篡改传输控制协议/网际协议（TCP／TP）的方式来伪装身份。更大规模的网络攻击还会采取“分布式拒绝服务（DDoS）”模式或者利用世界上任意地点的“僵尸网络（Botnet）”发起攻击。在2007年爱沙尼亚DDoS网络攻击事件中，技术专家发现所涉及到的攻击至少来源于178个国家的约85000台被劫持电脑组成的僵尸网络。在此情形下，确定网络攻击的源头几乎是无法实现的。最后，即使能够克服一切技术障碍识别到网络攻击的源地址，要找出设备背后的真正操控者也绝非易事。例如，攻击者很可能通过盗用他人设备或是频繁转移活动场所来逃脱责任追究。可见，网络攻击的归因在事实层面就已经受到了很大程度上的技术限制。

网络攻击的追踪还与政治因素密切挂钩。一方面，许多网络攻击本身就是出于政治利益而发起的。另一方面，网络攻击的追根溯源往往涉及有关国家网络基础设施和网络能力的机密信息，相关国家出于政治、国家安全方面的考虑甚至不愿意披露遭受网络攻击的事实，更不会与他国就网络攻击的追踪溯源进行积极合作。这就意味着，在对网络攻击进行归因的过程中不仅需要技术调查，还需要综合考虑复杂的政治形势。

从法律角度上看，即使克服技术问题和政治因素所带来的负面影响，进而识别出发起网络攻击的非国家行为体，如何在该行为体与相关国家之间建立起法律联系——即进行法律上的归因仍然是一大难题。

根据现行国际法归因理论，国家原则上不需要为私人行为承担国家责任，除非该行为受到了国家的指示、指挥或控制，或者行为人在没有有效政府的情况下事实上行使了政府权力，又或者该行为经国家认可并接受为国家行为。第二种情形在和平时代较为罕见，而第三种情形在网络空间中又显然不现实，因为如果某一国意图通过私人发起网络攻击，其本身就是为了钻法律漏洞而逃避责任，更不可能在事后又认可并接受攻击行为。因此，“指示、指挥或控制”应当是在非国家行为体和国家之间建立归因联系最为可行的标准。问题是，《国家对国际不法行为的责任条款草案（二读）》（以下简称ARSIWA）并没有对国家控制的标准作出具体解释，理论界和司法实践就此问题至今也未达成共识。对此，主要存在“有效控制”标准和“整体控制”标准两种学说。

国际法院在Nicaragua v.US一案中首先确立了有效控制这一标准。法院认为，对于美国自身从事的针对尼加拉瓜的行为（包括与反政府武装组织相关的），美国应当承担国家责任。然而，对于反政府武装组织所从事的一系列活动，却不能将其归因于美国。事实上，尽管美国在武装、训练、组织、供给和资助叛乱者等方面起到了决定性作用，甚至为其规划了整体行动，但法院认为这些因素还不足以将反政府组织从事的军事或准军事活动归因于美国，因为没有证据表明反政府组织是“完全依赖”于美国的。即使没有美国的控制，上述行为也可能由反政府组织的成员独立实施。据此，要使国家为非国家行为体的行为承担责任，该国必须对非国家行为体行使“有效控制”。这就意味着一般性的支持和策划并不足以将私人行为归因到国家。

然而，前南斯拉夫上诉分庭（ICTY上诉分庭）在Prosecutor v.Tadic案中却提出了另一种标准。ICTY上诉分庭认为，若要将（准）军事团体的行为归因于某个国家，需要证明的是国家对该组织行使了整体上的控制，例如对其全局行动作出总体上的指示，但是这并不要求国家为该组织的所有行为都提供具体的指示。显然，相对于有效控制标准而言，整体控制标准的门槛要低得多。需要注意的是，虽然上诉分庭是在处理武装冲突国际性问题的语境下提出整体控制标准的，但其同时也指出该标准同样适用于国家责任的判断问题。ICTY上诉分庭的意见在几年之后受到了国际法院的批判。2007年Genocide一案中，国际法院指出以整体控制标准作为国家责任的归因标准的理论是不具有说服力的。因为它不当地扩大了国家责任的范围。根据国家责任理论，一国原则上只对其官方机关的行为负责任，而若想国家对其他私人行为负责，私人必须是完全依赖于国家以至于达到了等同国家机关的程度。

上述两种标准在网络空间语境下再次引发了激烈的争论。有的学者赞同ICTY上诉分庭所提出的整体控制说。他们认为基于网络攻击的隐蔽性和私人性，适用有效控制说是不现实的，而且这种高标准可能会导致国家逃避本应承担的责任。也有学者指出这两种标准在网络空间中均无法适用，因为即使是在要求较低的整体控制标准下，也需要证明国家协调或是规划了非国家行为体的整体行动。因此在现有的归因标准下，要想将隐秘的网络攻击归因到一个国家几乎是不可能的。

笔者认为，在网络空间中适用有效控制标准更为妥当。首先，整体控制标准的适用范围存在一定的局限性。即使是在Prosecutor v.Tadic案中，ICTY上诉分庭也强调需要将个人或非正式的团体和有组织的（准）军事团体区分开来。其中，整体控制标准只适用于行为者是组织严密的（准）军事团体的情况。换言之，对于孤立的个人或是松散的非正式团体而言，仍有必要证明有效控制。这意味着全面控制标准的适用范围其实是有限的。与此同时，在网络环境中，绝大多数网络攻击又都是由黑客个人或者是组织松散的黑客团体发起的。因此，那些以Prosecutor v.Tadic案为依据主张对网络攻击归因适用全面控制标准的观点从法律上说其实是站不住脚的。

其次，从国家责任理论上看，对ARSIWA第8条作限制解释更符合立法本意。原则上，国家只需要对“国家行为”承担责任，而不需对没有体现国家意志的私人行为承担责任。从这个意义上说，ARSIWA第8-11条的情形都属于例外。有效控制标准为归因设定了一个较高的门槛，因而也更符合国家责任法的原理。值得指出的是，《网络行动国际法：塔林手册2.0版》（以下简称《塔林手册2.0版》）也明确了有效控制标准在网络空间中的适用，其认为只有当某国对非国家行为体的特定网络行动行使有效控制时，该行动才可以归因于该国。

最后，从结果上看，在网络空间中适用有效控制标准有助于实现国家间权利义务的平衡。对于受害国而言，归因不仅仅涉及国家责任，而且还是其采取正确回应措施的基础。如果非国家行为体发起的网络攻击可以归因于某国，那么受害国将可能获得依法采取反措施的权利。如果该网络攻击达到“武力攻击”的门槛，受害国还可能因此享有自卫权。而对于被指控国而言，正确的归因标准能有效阻止某些国家肆意采取反措施、自卫等威胁国际和平与安全的行为。正如Grosswald教授所指出，如果不保持严格的归因要求，那么报复性行动所固有的风险将会升级。从这个角度上看，有效控制标准其实是为相关国家承担国家责任设立了一个保护阀。因此，适用较为严格的有效控制标准在保护受害国的合法权益的同时也能防止某些国家肆意采取自卫行动。同时，这种严格的标准也更能促使国家间在应对网络攻击方面的积极合作。

四、对审慎原则作为归因标准的质疑

网络攻击不仅使得国际法学界对归因标准的争论趋于升温，也让国际社会开始关注到网络空间中的审慎原则及其与国家责任的密切联系。审慎原则的核心要义在于：一国不得在知情的情况下允许自己的领土被用于损害他国的行为。这一经典表述是国际法院在1949年Corfu Channel案中确立的。该原则也多次出现在国际法具体领域的条约中。以国际环境法为例，《里约环境与发展宣言》原则二就规定了国家负有保证在其管辖或控制范围内的活动不对其它国家（地区）的环境造成危害的义务。应当说，审慎原则已经具备了国际习惯法基础和条约基础。《塔林手册2.0版》也肯定了审慎原则在网络空间中的适用，并在规则6、规则7及其评注中阐释了领土国审慎义务的三个要件：（1）领土国对网络攻击“知情”；（2）被攻击国受到实质性的“损害”，造成了严重不利后果；（3）领土国必须采取一切“可行措施”来阻止网络攻击，不作为和不适当的作为都将违反审慎原则。需要说明的是，尽管国际上已就审慎原则适用于网络空间基本达成共识，但国际社会对于审慎原则是否构成一般国际法原则仍然存在较大争议。对此，我国曾向联合国2015年政府专家组（2015　UNGGE）提出审慎义务的一般国际法原则地位尚未得到国际社会的普遍认同。

近年来，一些学者开始呼吁降低归因标准，甚至主张直接将审慎原则作为新的归因标准。此类“网络审慎归因论”认为现行归因标准并非是固化的，归因所需证明的控制程度也视具体情况而变。当某个国家违反审慎原则时，例如该国容忍或不愿意阻止非国家行为体发起的网络攻击，该网络攻击就应当归因于该国。此外，受害国还可以该国未尽审慎义务为由行使自卫权或反措施。然而，上述观点却存在巨大的法律风险和不容忽视的现实隐患。

首先，从国家责任的本质上看，审慎归因论混淆了网络攻击行为和不作为引发的责任。前者的责任基础是网络攻击行为本身的违法性，而审慎义务针对的则是相关国家所负有的防止属于其管辖范围内领土（或网络设施）被用于对他国造成损害之行为的义务。换言之，在审慎原则下，相关国家应当是对其不作为承担独立的法律责任，而不是对非国家行为体发起的网络攻击承担责任（图1）。以审慎原则作为归因标准，看似解决了网络攻击中归因的困境，实则是对归因的对象进行了“偷梁换柱”，将网络攻击行为直接“转嫁”给了相关国家，从而混淆了不同行为体（即国家和非国家行为体）在网络空间中的权利与义务。事实上，若要使某国为非国家行为体发起的网络攻击承担责任，仍然需要通过国家责任理论来将该网络攻击归因于国家。

图1

其次，从初级规则与次级规则的原理上看，审慎原则也不应当作为一项归因标准。有学者以解决归因难题为由将审慎原则视为国际法上的次级规则，因而认为审慎原则也可以构成独立的归因标准。然而，这种观点却不符合初次级规则的法律定义和历史背景。从定义上分析，初级规则是指从实体上规定国家应当承担的国际义务的规则；而次级规则则涉及违反初级规则所指向的国际义务后的法律后果。因此，包括归因标准在内的有关国家责任的国际法规范属于次级规则之范畴。与之相比，审慎原则应属于初级规则的范畴，因为其内涵在于“一国有义务防止其领土被用于损害他国权利的行为”，而这显然属于对国家实体义务而非法律后果的描述。另一方面，早在ARSIWA起草之际，国际法委员会就有意将初级规则和次级规则区分开来。当时，起草工作小组曾对构成国际不法行为是否要求主观“过错”要件存在巨大的争议。为了尽可能地避免分歧，有关主观“审慎”的规定被移入了初级规则部分。随后，在ARSIWA编纂之时，包括“审慎”在内的初级规则相关的条款也被尽数删除。由此可见，ARSIWA编纂的历史背景也表明审慎原则作为初级规则不可能构成一项独立的归因标准。

最后，审慎原则也不属于ARSIWA第55条意义上的特殊归因标准。有学者以ARSIWA第55条为法律依据认为审慎原则应当构成对网络攻击归因所适用的特别规则。诚然，根据ARSIWA第55条，在国际不法行为的构成条件应由国际法“特殊规则”规定的情况下，ARSIWA所规定的一般规则（包括归因标准）不得适用。这类情况主要包括：当事国之间通过签订条约的方式明确规定如何判断一国是否违反特定义务、以及违反该义务的法律后果。然而，从国家实践上看，目前没有任何双边条约或其他的国际立法对归因标准作出特殊规定。退一步说，即使个别国家间的双边条约包含上述特别规定，这类规定也仅仅适用于当事国，而不能作为普遍意义上的归因标准。另外需要说明的是，ARSIWA第55条的适用前提是相关“特殊规则”至少与ARSIWA中对应的一般规则有相同的法律地位。然而，如上所述，归因标准属于次级规则，而审慎义务属于初级规则之列，两者不管从法律性质还是制度目的上来说都存在着本质上的差异。因此，很难认为审慎原则与归因标准具有相同的法律地位，审慎原则也就难以构成ARSIWA之外的特殊归因标准。

综上，无论是根据国家责任性质、初级规则与次级规则原理，抑或是从“特别法”角度分析，现有国际法律制度都难以支撑审慎原则作为网络空间中的新的归因标准。

就现实层面而言，以审慎原则作为归因标准的理论同样存在着巨大的隐患。其一，审慎归因论极有可能导致国家间权利与义务的失衡。按照该理论，只要一国没有尽到审慎义务，就需要为网络攻击承担国家责任，进而遭到受害国的报复行动。这相当于是赋予网络攻击受害国无限的自卫权，同时给领土国施加了过重的义务负担。在这一点上，有学者辩驳，审慎原则本身的适用就受到了“知情”“损害”“可行措施”等条件的限制，因此不必担心相关国家负有与该国能力不相符合的负担。然而，审慎原则的适用条件本身就存在着极大的灵活性和不确定性。例如，如何证明对于非国家行为体的网络攻击，被指控国实际上知情或是应当知情？什么是实质损害、“严重不利后果”？“可行措施”的判断标准又是怎样的？这些问题在目前并没有统一答案。正因如此，上述条件从表面上看限制了审慎原则的适用，实际上却是为一些国家根据实际情况肆意解释审慎原则留下了空间。再加之网络空间国际法体系尚处于萌芽期，某些西方大国很可能利用其强大的网络实力和国际话语权抢占解释权，以实现自己的政治利益和霸权主义。其二，审慎归因标准的现实可行性有待商榷。由于网络的无边界性，网络攻击通常会涉及多个国家的领土主权，爱沙尼亚DDoS网络攻击事件涉及的来自178个国家的电脑组成的僵尸网络就是例证。在此情形下，如若上述国家均未针对网络攻击履行审慎义务，难道都需要为该攻击的不法性承担国家责任吗？这也从反面说明了审慎归因论在现实上的不合理之处。其三，以审慎原则作为归因标准还可能威胁到正常的国际秩序。鉴于审慎义务的不确定性，相关国家之间可能借助审慎原则肆意进行归因并相互指责，长此以往将导致国际关系的紧张。一些理性的西方学者也指出，在审慎归因论下，多个国家都可能会因为错误的归因而轻易地卷入网络战，并存在随时升级为军事战争的风险。正因如此，在国际社会普遍接受和细化审慎原则之前，各国应当充分考虑到适用审慎归因论的代价。

综上所述，审慎归因标准不仅从法律上站不住脚，而且存在着不容忽视的现实隐患。因此，即使是在网络空间，传统国际法上的归因标准也不宜被审慎原则所替代。

五、对网络攻击进行负责任的归因

当前，网络攻击已然成为对国家安全的主要威胁之一，同时也对国际法的适用提出了新的挑战。诚然，受害国的网络安全需要国家责任机制的保护。但是，国家责任的追究应当建立在查明相关事实、正确适用国际法规则的基础上，即通过国际法对非国家行为体的网络攻击进行负责任的归因。鉴于此，笔者认为，传统国际法上的“有效控制”归因标准在网络空间中仍然得以适用。与此同时，也要厘清审慎原则与归因标准之间的区别与联系，防止国家责任范围的无限扩大。举例来说（图2），当非国家行为体A对受害国B发起网络攻击时（假定该网络攻击违反了国际法）：

1.如若能证明国家C1对A进行了“有效控制”，例如，国家C1是该网络攻击的决策者，并且其对组成该网络行动的每一项具体行动都作出了详细指示，那么该网络攻击在国际法上就可以归因于国家C1。此时，国家C1应当为该攻击承担相应的国家责任，受害国B也有权依法采取反措施或是自卫行动；

2.国家C2也为该网络攻击提供了资助等协助行为，但尚未达到“有效控制”的门槛，那么国家C2就无需对该攻击承担国家责任，因为不能从法律上将该攻击归因于C2。这时，受害国B就无权因该网络攻击对国家C2采取反措施或自卫行动。当然，如果能证明国家C2违反了审慎义务，例如在明知该网络攻击的情况下还为A提供设施帮助，或是未采取与其能力相匹配的措施尽力制止，受害国B可以要求C2承担其违反审慎义务引发的法律责任，但却不能要求C2对此网络攻击负责；

3.国家C3是一个信息化程度较落后的发展中国家。非国家行为体A利用了国家C3的网络设施发起攻击，例如截取国家C3境内的网络设备构建僵尸网络以掩藏其行踪。而国家C3对此完全不知情，也没有相应的网络能力来阻止该攻击。这时，国家C3对该网络攻击并不负有审慎义务，受害国B因此不能要求其承担任何国家责任。

当然，现实情况往往要比上述假设中的例子复杂得多，对网络攻击进行归因势必会面临着技术、政治与法律等多重因素的阻碍。但即便如此，一味降低归因标准、甚至以审慎原则作为归因标准仍是不可取的。为解决非国家行为体网络攻击的归因困境，正确的出路应当是在巩固现行归因理论的基础上，不断细化网络空间国际规则，加强网络空间治理的国际合作。

具体而言，首先，应当坚持现行国际法在网络空间中的适用。面对域外学界层出不穷的各种新归因理论，我国应当强调传统国际法归责理论在网络环境的适用。一方面，除开网络技术的外衣，网络攻击事实上与其他攻击行为的归因并无本质差异，因此传统归因理论于法于理都应当继续沿用。另一方面，审慎归因理论的提出，不仅完全推翻了现有国际法归因规则，还有为某些西方国家肆意指责、抹黑他国提供“粉饰门面”之嫌。国际社会对此应当予以警惕。其次，有必要进一步细化网络空间国际法规则，完善网络空间责任行为规范。当前，网络空间国际立法仍处于空白状态，相关规范大多体现在学术理论的争鸣之中，缺乏法律上的确定性。以审慎原则为例，不可否认，该原则在网络空间中有其适用的空间，对于规制相关国家权利与义务也起着重要作用。但鉴于其适用存在着极大的不确定性，实践中不仅很难通过审慎原则来实现国家责任的追究，反倒有可能使该原则成为一些国家无端指责他国的工具。因此，为避免规则滥用，国际社会应当通过达成国际条约、制定软法规范等方式尽可能细化网络空间中的审慎原则和其他规范，使网络空间国家责任的运作机制有法可依。

最后，各国应致力于加强网络空间治理的国际合作。考虑到网络的“无边界性”，国家间的合作对于维护网络空间秩序是至关重要的。对此，可以联合国为基本平台，促进各国在平等协商的基础上制定网络安全国际法律规范，鼓励各国协调国内立法的制定与实施。我国在2017年发布的《网络空间国际合作战略》就体现了这一立场。另一方面，各国也要建立信息披露与共享机制。只有掌握网络风险信息，相关国家才能及时预防和应对网络攻击，并对网络攻击进行追踪溯源。目前，一些国家和地区已经建立了信息监测平台以实现信息共享。例如，欧盟NIS指令就要求缔约国之间就网络跨界损害建立风险通知和信息交流机制。加强国际合作不仅有利于克服网络攻击归因所遇到的一系列难题，更有助于我们进一步构建“人类网络空间命运共同体”。

结论

综上所述，对非国家行为体发起的网络攻击进行追踪溯源并实现国际法上的归因目前存在着重重困境。技术上，互联网的特性使得攻击发起者的身份难以确定；从政治因素考虑，针对国家的网络攻击常与复杂的政治形势息息相关；在规则适用上，网络空间中的国家责任规范和证据标准等都存在着不确定性。在此背景下，一些西方学者开始呼吁以审慎原则作为网络空间中新的归因标准。审慎原则的核心要义在于国家不应在知情的情况下允许其领土被用于损害他国权利的行为。该原则在网络空间的适用具备习惯国际法和条约基础，但其是否能作为一项一般国际法原则尚无定论。此外，考虑到审慎原则适用上的不确定性，其在网络空间中的适用势必会面临一系列技术和法律难题。

需要警惕的是，尽管审慎原则适用于网络空间，但其无论如何都不应作为一项归因标准。就法律层面而言，审慎归因论混淆了网络攻击行为和不作为引发的责任；其次，审慎原则作为一种初级规则不可能构成独立的归因标准；再者，ARSIWA第55条意义上的“特别法”也无法为审慎归因论提供理论依据。从现实角度看，审慎归因论的现实可行性有待商榷，并极有可能导致国家间权利与义务的失衡，从而对国际秩序造成威胁。

本文认为，在国际社会就网络国际法特殊规则达成共识之前，正确的路径应当是以国际安全和秩序为导向，坚持现行法在网络空间中的适用，同时不断细化网络空间国际法规范，加强网络空间治理的国际合作。事实上，正是因为网络攻击的归因存在种种不确定性，才更有必要适用较为严格的归因标准以防止无辜的国家成为“替罪羊”。因此，在网络空间中，有效控制标准不仅不应被审慎原则所替代，相反还应当通过信息分享等国际合作机制来强化。

往期精彩回顾

上海市法学会官网

http://www.sls.org.cn